【臺灣資安大會直擊】持續推動零信任架構，金管會著手發展金融雲端資安監控基準

「面對網路環境越來越複雜，供應鏈的資安威脅更高，攻擊的規模比以前更大，單一金融機構已經沒辦法靠自己單打獨鬥來面對資安威脅。」金管會副主委莊琇媛4月17日在臺灣資安大會金融安全論壇開場時強調，金融機構面對與日俱增的資安威脅，除了要做好自身的資安防護和資源配置，也要持續關注F-ISAC發布的資安情資，並將資安情資分享給其他金融機構聯防，共同提升資安水準，維持金融體系的資訊安全。

莊琇媛也提到，金管會未來將持續推動零信任網路架構，並且，她也提醒，金融機構運用雲端、AI等新興科技，應同時落實相關安全控管，盡最大責任保障客戶權益。

為了推動金融機構發展資安，金管會在2020年發布金融資安行動方案1.0，兩年後接著發布2.0版，延續1.0版四大策略，增加了14項精進措施，從鼓勵金融機構擁抱零信任架構，強化核心資料保全、舉辦資安長聯繫會議，推動重大資安事件的支援演訓等。去年7月，金管會發布金融業導入零信任架構參考指引，期望能持續推動金融業導入零信任架構。

金管會資訊服務處處長林裕泰也出席2025臺灣資安大會的金融資安論壇，點出金融業導入零信任架構參考指引的重點內容。

在論壇中，金管會資訊服務處處長林裕泰再次強調金融機構應導入零信任的原因，並點出金融業導入零信任架構參考指引的重點內容。

林裕泰認為，金融機構需要導入零信任架構原因有二，第一，遠距工作與雲端服務普及，企業邊界日益模糊，場域外人員及設備安全控管更加困難，第二，也是他特別強調的觀念，「一定要假設資安有缺口，駭客可能會進到你的內部。」因此，他指出，金融業者應找到內部最重要的資料保護對象，讓駭客在進入內網時，可以經過層層攔阻，「不讓駭客一下就找到資料寶藏，這是我們推動零信任的目的。」林裕泰說。

他點出，導入零信任架構共有四大實施原則，分別是風險導向、循序漸進、目標導向，和技術中立。

針對風險導向，林裕泰解釋，金融機構不應野心過大、一次全面導入零信任，否則將耗費過多人力、經費與溝通成本。例如，金融機構可以先從遠距辦公、重要應用系統管理者，或是和跨機構協作等高風險場域試行。

另外，他也建議金融機構可依分級指標，分階段、循序漸進導入零信任架構。類似美國CISA發布的零信任成熟模型，從傳統、初始、進階再到最佳化，逐步精進的方式去實施。從建立靜態指標，到納入動態指標，再發展到整合即時指標，最後則是整合所有指標，建立可快速調適的自動化管理機制。

林裕泰解釋，金融機構可依據參考指引中，針對「身份、設備、網路、應用、資料」五大支柱提供的分級對應細項指標，來逐步發展至最佳化階段。「最重要的是，導入產品的過程，要有日誌收集機制。」他表示，導入零信任相關資安產品時，應確保產品本身具備日誌收集機制，並且，產品要能與既有的資安監控和事件應處結合，保護內部重要資料。

金管會開始推動金融雲端資安監控基準

林裕泰提到，金管會約在3、4年前開始發展金融資安監控基準，「但當時都是針對地端的防禦措施，」隨著金管會修正委外規範，越來越多金融機構因應營運或韌性需求上雲，「但雲端的資安防護和地端防護很不一樣。」

林裕泰表示，去年上半年，金管會找來相關利害關係者，包含公有雲業者、資安監控廠商和金融機構，共同討論如何發展金融雲端資安監控基準，包括需不需要將雲端服務資安組織發展的基準納入參考範圍，或是需不需要額外針對雲原生工具訂定防護措施。

因應委外規範修正，越來越多金融機構因應營運或韌性需求上雲，金管會從去年下半年開始發展金融雲端資安監控基準。(攝影:李昀璇)

去年下半年，金管會陸續有了部分成果。首先，金管會列出金融機構常用的雲端服務，包含帳號管理、靜態資料儲存、託管虛擬機、稽核記錄、無伺服器服務，和機密金鑰管理，這些服務都納入了金管會研議制定雲端版資安監控基準的範圍。

金管會在制定金融雲端資安監控基準時，首先列出金融機構常用的雲端服務，包含帳號管理、靜態資料儲存、託管虛擬機、稽核記錄、無伺服器服務，和機密金鑰管理。(攝影:李昀璇)

另外，金管會也從攻擊框架出發，運用雲端雲生原生資安工具，來評估國際資安組織與雲端服務商發布的各項安全組態基準文件，能否完全偵測和阻擋各項攻擊行為。

林裕泰指出，在雲地混合架構下，企業必須思考資安監控機制的部署方式，例如，是否使用雲端原生工具、是否需在雲端自建SIEM平台，或是為了整合既有地端監控系統，要設置將日誌和警示回傳至地端。除了技術上的考量，成本也是需要權衡的因素。「怎麼在這之間做到權衡，是非常重要的考驗。」林裕泰說。

他表示，雲端雖有資安監控工具，但當金融機構要在特定場景，針對特定人、事、時、地、物做進一步的監控和應變處置，就須要在自建的監控平臺額外制定特殊規則。因此，林裕泰表示，金管會也正在制定這些規則，並發展手冊內容，預計在近期開始向金融機構做推廣和教育訓練。並且，金管會未來也會邀請金融機構針對研究結果進行試行，除了期望確認規則的有效性外，也希望減少金融機構的錯誤告警次數，「這是資安監控中非常重要的環節。」他說。

未來將關注AI、供應鏈安全和量子運算

林裕泰表示，金管會繼去年發布零信任導入參考指引，接著發展金融雲端資安監控基準。若這套機制運作順利，後續將進一步拓展至容器或平臺即服務等領域。

他指出，人工智慧、供應鏈安全和量子運算，將會是金管會持續關注的議題。包括AI能否協助解決資安人力不足的問題、未來是否可延伸發展 AI 版監控基準，都是可能的推動方向。針對供應鏈安全議題，林裕泰提到，金融機構與合作夥伴的API議題、供應商能否提供安全的原始碼和元件等，都是可關注的方向。另外，他也提到，數位發展部近日發布後量子密碼遷移指引，將會是金融業未來需要研議的議題。